CADRE DE GESTION DE LA SÉCURITÉ DE L’INFORMATION (CGSI)

Centre intégré universitaire de santé et de services sociaux du Saguenay–Lac-Saint-Jean

Direction des ressources informationnelles Avril 2016

Cadre de gestion de la sécurité de l’information 2

1. PRÉAMBULE Le présent cadre de gestion de la sécurité de l’information s’inscrit dans une démarche visant à mettre en œuvre une gouvernance forte et intégrée de la sécurité de l’information au sein du Centre intégré universitaire de la santé et des services sociaux du Saguenay-Lac-Saint-Jean, ci-après appelé l’établissement. Cette démarche s’appuie sur les documents structurants du Se-crétariat du Conseil du trésor et ceux du ministère de la Santé et des Services sociaux, ci-après appelé ministère. Le présent cadre de gestion de la sécurité de l’information découle de la nécessité de faire évo-luer l’encadrement de la sécurité de l’information applicable aux établissements relevant du président-directeur général pour prendre en compte les nouveaux besoins d’encadrement et les nouvelles exigences gouvernementales. En effet, les rôles et responsabilités en matière de sécurité de l’information décrits dans le Cadre global de gestion des actifs informationnels – volet sécurité (CGGAI), adopté en 2002, n’ont pas été mis à jour. De plus, les nouvelles orientations stratégiques du MSSS visent à renforcer son rôle de gou-verne tout en responsabilisant.

2. CONTEXTE LÉGAL ET ADMINISTRATIF Le Cadre gouvernemental de gestion de la sécurité de l’information adopté par le Secrétariat du Conseil du trésor (SCT) confère au MSSS de nouvelles responsabilités en la matière et étend le champ d’application de la gouvernance de la sécurité de l’information à l’ensemble des éta-blissements qui relèvent du dirigeant réseau de l’information (DRI) de la santé et des services sociaux. Ainsi, le présent cadre est également adopté en application du paragraphe (a) du premier ali-néa de l’article 7 de la Directive sur la sécurité de l’information gouvernementale du SCT, dé-cret 7-2014. Il remplace la section II du Cadre global de gestion des actifs informationnels et décrit les rôles et responsabilités en matière de sécurité de l’information dans le Réseau. De plus, la loi modifiant l’organisation et la gouvernance du réseau de la santé et des services sociaux notamment en abolissant les agences régionales et en regroupant les établissements, implique de revoir également la gouvernance de la sécurité de l’information.

3. BUT Ce cadre s’inscrit dans une démarche visant à mettre en œuvre une gouvernance forte et inté-grée de la sécurité de l’information gouvernementale au sein du CIUSSS du Saguenay–Lac-Saint-Jean.

Cadre de gestion de la sécurité de l’information 3

4. CHAMP D’APPLICATION Le présent cadre de gestion est applicable aux installations qui relèvent du CIUSSS du Sague-nay–Lac-Saint-Jean tel que défini dans la Loi sur la gouvernance et la gestion des ressources in-formationnelles des établissements public et des entreprises du gouvernement (LGGRI), ci-après appelées « établissements ».

5. DÉFINITIONS Pour l’application du présent cadre de gestion, les termes et expressions suivantes signifient : Actif informationnel : actif informationnel au sens de la Loi concernant le partage de certains renseignements de santé (LPCRS), soit, une banque d’informations, un système d’information, un réseau de télécommunication, une infrastructure technologique ou un ensemble de ces éléments ainsi qu’une composante informatique d’un équipement médical spécialisé ou ul-traspécialisé. Est également considéré comme un actif informationnel, tout support papier contenant de l’information. Détenteur de l’information : un employé désigné par son établissement public, appartenant à la classe d’emploi de niveau cadre ou à une classe d’emploi de niveau supérieur et dont le rôle est, notamment, de s’assurer de la sécurité de l’information et des ressources qui la sous-tendent, relevant de la responsabilité de son unité administrative. Le terme « détenteur de processus d’affaires » est utilisé lorsque ce rôle se limite à un processus d’affaires déterminé. Pilote de système d’information : personne nommée par le détenteur de système, qui agit comme intermédiaire entre l’équipe de développement informatique et les utilisateurs de sys-tème. Le pilote de système est en quelque sorte le superutilisateur. Il est responsable d’appliquer les configurations avancées dans le système, il est la personne de référence pour les utilisateurs lorsqu’ils ont des problèmes ou questions avec le système. Cette personne est aussi responsable de faire des essais utilisateurs avant les mises en production du système. Utilisateur : toute personne de l’établissement de quelque catégorie d’emploi, de statut d’employé ainsi que toute personne morale ou physique qui, par engagement contractuel ou autrement, utilise un actif informationnel sous la responsabilité de l’établissement ou y a ac-cès. Domaines connexes : domaines qui ne sont pas liés directement à la sécurité de l’information, mais sur lesquels des liens peuvent exister, par exemple : architecture de sécurité, continuité de services, sécurité physique, gestion des technologies de l’information, vérification interne, gestion documentaire, accès à l’information et protection des renseignements personnels, dé-veloppement ou acquisition de systèmes d’information, éthique. Réseau : ensemble des établissements qui relèvent du dirigeant réseau de l’information (DRI) de la santé et des services sociaux en vertu de l’article 2, paragraphe 5 de la Loi sur la gouver-nance et la gestion des ressources informationnelles des établissements publics et des entre-prises du gouvernement (LGGRI).

Cadre de gestion de la sécurité de l’information 4

Système d’information : système constitué des ressources humaines (le personnel), des res-sources matérielles (l’équipement) et des procédures permettant d’acquérir, de stocker, de traiter et de diffuser les éléments d’information pertinents pour le fonctionnement d’une en-treprise ou d’un établissement.

6. CADRE JURIDIQUE Le cadre légal et administratif applicable est celui défini dans la politique de sécurité de l’information.

Cadre de gestion de la sécurité de l’information 5

7. OBJECTIFS Le cadre de gestion de la sécurité de l’information complète les dispositions de la politique de sécurité de l’information et renforce la gouvernance de la sécurité de l’information de l’établissement, par la mise en place d’une structure fonctionnelle de la sécurité de l’information et par la définition de rôles et responsabilités en la matière. Les rôles et responsabilités définis dans le cadre de gestion de la sécurité de l’information con-cernent l’approbation, la mise en place, la coordination, le développement, le suivi et l’évaluation de la sécurité de l’information dans l’établissement, en tenant compte des exi-gences du cadre légal et administratif applicable au Réseau et des principes généraux de la po-litique provinciale de sécurité de l’information du Réseau et de l’établissement. Le cadre de gestion de la sécurité de l’information s’inscrit dans le cadre normatif du Réseau, tout en s’appuyant sur le cadre légal et le cadre normatif gouvernemental, tel qu’illustré ci-dessous.

8. STRUCTURE FONCTIONNELLE DE LA SÉCURITÉ DE

Cadre de gestion de la sécurité de l’information 6

L’INFORMATION Le cadre de gestion de la sécurité de l’information met en œuvre la structure fonctionnelle re-quise pour assurer une gouvernance forte et intégrée, pour favoriser la concertation entre les intervenants, pour profiter de la complémentarité de leurs ressources et pour optimiser l’efficacité de leurs actions. Le schéma ci-dessous illustre la structure fonctionnelle de la sécurité de l’information au sein de l’établissement.

.

Cadre de gestion de la sécurité de l’information 7

9. STRUCTURE FONCTIONNELLE DE LA SÉCURITÉ DE L’INFORMATION

9.1 Ministère de la Santé et des Services sociaux Les rôles et responsabilités des différents intervenants du MSSS sont décrits dans le cadre de gestion de la sécurité du MSSS (MSSS-CDG01). Ces intervenants sont :

le ministre de la Santé et des Services sociaux;

le sous-ministre de la Santé et des Services sociaux;

le dirigeant réseau de l’information (DRI);

le responsable organisationnel de la sécurité de l’information (ROSI);

le coordonnateur organisationnel de gestion des incidents (COGI);

le comité provincial de sécurité de l’information (CPSI);

la table de coordination des officiers de sécurité de l’information.

9.2 Le conseil d’administration du CIUSSS du Saguenay–Lac-Saint-Jean

adopte la politique et le plan d’action établis par l’établissement en matière de sécurité de

l’information, lesquels sont conformes à la Politique provinciale de sécurité de

l’information et au Cadre de gestion de la sécurité de l’information, et suit leur application

dans l’établissement;

reçoit et entérine annuellement ou au besoin le Bilan de sécurité de l’information de

l’établissement.

9.3 Le président-directeur général du CIUSSS En tant que premier responsable de la sécurité de l’information de son établissement, le prési-dent directeur général :

s’assure du respect des lois et des règles de sécurité de l’information s’appliquant au Ré-

seau, notamment celles émises par le Secrétariat du Conseil du trésor (SCT);

approuve le cadre de gestion de la sécurité de l’information adapté à son établissement;

s’assure de la mise en œuvre de la politique de sécurité de l’information adoptée par le

conseil d’administration et des rôles et responsabilités du cadre de gestion de la sécurité

de son établissement;

nomme un employé de la classe d’emploi cadre à titre de Responsable de la sécurité de

l’information (RSI) de son établissement et s’assure de lui octroyer les pouvoirs et res-

sources nécessaires à la réalisation de ses tâches et responsabilités; le formulaire de nomi-

Cadre de gestion de la sécurité de l’information 8

nation du RSI doit être retourné annuellement au 1er avril ou au besoin au ROSI lors d’un

changement du RSI;

établit avec son RSI une relation de forte collaboration lui permettant d’être au fait de

toute situation à risque et de tout incident majeur de sécurité de l’information;

informe et mobilise ses gestionnaires et l’ensemble de son personnel au sujet de

l’application des bonnes pratiques en sécurité de l’information;

s’assure de la gestion adéquate des risques de sécurité de l’information en lien avec son

contexte organisationnel;

s’assure de la nomination des détenteurs de la sécurité de l’information pour son établis-

sement afin d’assurer la sécurité de l’information et des ressources qui la sous-tendent;

s’assure de la mise en place d’un comité chargé de la sécurité de l’information au sein de

son établissement et mandate le RSI pour présider ce comité.

9.4 Le responsable de la sécurité de l’information (RSI) du CIUSSS

Le RSI est nommé par le président-directeur général de son établissement. Cette personne a les pouvoirs et les compétences nécessaires à la gestion de la sécurité de l’information de son établissement. À ce titre, il :

planifie les activités nécessaires à la mise en place de la sécurité de l’information au sein

de son établissement;

s’assure de l’encadrement de la sécurité de l’information au sein de son établissement,

veille à l’application de la politique et du cadre de gestion de la sécurité de l’information

de son établissement et s’assure du respect par son établissement, des règles particulières

publiées par le DRI en matière de sécurité de l’information;

agit à titre de porte-parole du ROSI auprès de son établissement en informant les diffé-

rents intervenants en sécurité de l’information, des orientations et des priorités

d’intervention provinciale et s’assure de leur mise en œuvre;

représente son établissement au Comité provincial de la sécurité de l’information du Ré-

seau et s’assure de la participation de son établissement aux processus provinciaux de ges-

tion de la sécurité de l’information;

dirige la coordination et la cohérence des activités de sécurité de l’information menées au

sein de son établissement, notamment celles de son officier de sécurité de l’information et

de son conseiller en gouvernance de la sécurité, le cas échéant;

préside, pour le compte du président-directeur général, le comité de sécurité de

l’information au sein de son établissement et lui soumet pour consultation les orienta-

tions, les politiques, les directives, les cadres de gestion, les plans d’action, les bilans et les

rapports sur les événements ayant mis ou qui auraient pu mettre en péril la sécurité de

l’information de l’établissement, ainsi que toute proposition d’action ou état

d’avancement des projets destinés au président-directeur général de l’établissement;

Cadre de gestion de la sécurité de l’information 9

s’assure de la mise en place du registre d’autorité de la sécurité de l’information, dans le-

quel sont notamment consignés les noms des détenteurs de l’information et les systèmes

d’information qui leur sont assignés;

s’assure de la mise en œuvre d’un système de gestion intégré des risques de sécurité de

l’information, qui lui permet de maîtriser les risques de sécurité relatifs à son établisse-

ment;

s’assure de la mise en œuvre d’un processus de gestion des incidents de sécurité de

l’information dans son établissement;

veille à l’identification et à la prise en charge des exigences de sécurité de l’information

lors de la réalisation de projets de développement ou de l’acquisition de systèmes

d’information;

s’assure de l’intégration aux ententes de services et aux contrats, des dispositions garan-

tissant le respect des exigences de sécurité de l’information en prenant appui sur le cadre

gouvernemental d’élaboration de clauses contractuelles en matière de sécurité de

l’information et de protection des renseignements personnels;

veille à la mise en œuvre de toute recommandation jugée pertinente découlant d’une véri-

fication ou d’un audit de sécurité;

s’assure de l’élaboration et de la mise en œuvre d’un programme formel de formation et

de sensibilisation en matière de sécurité de l’information;

s’assure de la production d’un bilan annuel ou, au besoin, d’un plan d’action triennal de la

sécurité de l’information de son établissement, les valide et les transmet au ROSI du Ré-

seau et à son président-directeur général d’établissement;

rend compte des réalisations de son établissement en matière de sécurité de l’information

au ROSI du Réseau et à son président-directeur général d’établissement;

évalue constamment toute information reçue en lien avec la sécurité de l’information.

Le RSI a une écoute particulière du président-directeur général de l’établissement qui l’a nommé et réfère à celui-ci pour toute situation exceptionnelle qui pourrait mettre en péril la sécurité de l’information de l’établissement.

9.5 Le conseiller en gouvernance de la sécurité du CIUSSS Le conseiller en gouvernance de la sécurité de l’information apporte son soutien au RSI de son établissement, notamment en ce qui concerne l’encadrement de la sécurité de l’information, le choix des moyens pour répondre aux exigences des règles particulières adoptées par le DRI et la planification des actions en sécurité. À cet égard, il :

accompagne le RSI dans la définition des orientations stratégiques, des directives et des

plans d’action en matière de sécurité de l’information;

participe à la rédaction des documents d’encadrement de la sécurité de l’information de

son établissement, notamment la politique et le cadre de gestion de sécurité de

l’information;

Cadre de gestion de la sécurité de l’information 10

accompagne le RSI dans la mise en œuvre des orientations internes découlant des direc-

tives ministérielles et celles du DRI, des politiques internes et des pratiques généralement

admises à cet égard;

participe à la définition et accompagne le RSI dans la mise en œuvre de processus formels

de gestion de la sécurité de l’information;

accompagne les directions partenaires en matière de sécurité de l’information et participe

à l’intégration de dispositions garantissant le respect des exigences de sécurité de

l’information dans les ententes de service et les contrats;

assiste les détenteurs de l’information dans la catégorisation de l’information relevant de

leur responsabilité, dans l’identification et l’évaluation des situations de risques ainsi que

dans la définition de plans d’action visant à réduire les risques de sécurité de l’information

à un niveau acceptable pour l’établissement et pour le MSSS;

identifie et prend en charge les exigences de sécurité de l’information lors de la réalisation

de projets de développement ou de l’acquisition de systèmes d’information;

élabore et met en œuvre le programme de formation et de sensibilisation en matière de

sécurité de l’information;

tient à jour le registre d’autorité de la sécurité de l’information;

assure la coordination et la réalisation de projets de sécurité de l’information;

produit les bilans et les plans d’action de sécurité de l’information de son établissement;

en l’absence du RSI, c’est le conseiller en gouvernance de la sécurité qui fera office de RSI.

9.6 L’officier de sécurité de l’information L’officier de sécurité de l’information est un professionnel de la sécurité de l’information ayant les compétences nécessaires à la réalisation des tâches et responsabilités suivantes et il :

contribue à la mise en place des activités opérationnelles de sécurité de l’information, plus

précisément, la planification, le déploiement, l’exécution, la surveillance, les enquêtes et

l’amélioration des processus de sécurité nécessaires à la gestion opérationnelle de la sécu-

rité dans son établissement, la gestion des risques et la gestion des incidents en respectant

les exigences de sécurité définies dans les règles particulières et conformément aux pra-

tiques recommandées de l’industrie;

participe activement au réseau d’alerte du Réseau pour la gestion des incidents de sécurité

de l’information;

contribue aux analyses de risques de sécurité de l’information, identifie les menaces et les

situations de vulnérabilité et met en œuvre les solutions appropriées;

supporte le RSI et le conseiller en gouvernance de la sécurité dans les activités de dévelop-

pement et d’acquisition, pour le volet technique de la sécurité dans le respect des exi-

gences de sécurité définies dans les règles particulières et conformément aux pratiques re-

commandées;

Cadre de gestion de la sécurité de l’information 11

participe aux comités de gestion des changements s’il y a lieu et possède un droit de ré-

serve face à des changements qu’il juge trop risqués sur le plan de la sécurité de

l’information;

s’assure de la production des rapports des processus de sécurité de l’information (inci-

dents, vulnérabilités, etc.) et les transmet à son RSI, avec son appréciation et des justifica-

tions, au besoin.

Compte tenu de l’ampleur du territoire à couvrir et du nombre d’installations, cette tâche pourra être assignée à une ou plusieurs personnes en fonction des priorités et des disponibili-tés des ressources de l’organisation.

9.7 Le comité de sécurité de l’information (CSI) du CIUSSS Le comité de sécurité de l’information est l’instance de concertation en matière de sécurité de l’information de l’établissement. Plus particulièrement, ce dernier :

examine et formule des recommandations concernant les orientations, les politiques, les

directives, les cadres de gestion, les plans d’action et les bilans de l’établissement, ainsi

que toute proposition d’action ou état d’avancement de projets en sécurité de

l’information;

s’assure de la prise en charge des risques, des situations vulnérables ou des incidents iden-

tifiés;

analyse et formule des recommandations concernant les événements ayant mis ou qui au-

raient pu mettre en péril la sécurité de l’information de l’établissement.

Ce comité est présidé par le RSI, à titre de représentant du président-directeur général de l’établissement. Il est constitué des détenteurs de l’information ainsi que des unités adminis-tratives responsables des ressources informationnelles, de la vérification interne, de l’accès à l’information et de la protection des renseignements personnels, de la gestion documentaire, de la sécurité physique et de l’éthique, ainsi que sur invitation, toute personne jugée perti-nente. Le choix des membres devra se faire en tenant compte d’une répartition géographique équi-table et représentative de toutes les installations du CIUSSS.

9.8 La Direction des ressources informationnelles Le rôle de la Direction des ressources informationnelles à l’égard de la sécurité des actifs in-formationnels est d’agir en tant que fournisseur de service. Il fournit et maintient en état les moyens techniques de sécurité et s’assure de leur conformité aux besoins de sécurité déter-minés par le RSI et les détenteurs. Ce rôle trouve son complément dans l’assistance et le con-seil en vue d’une meilleure utilisation de ces moyens.

Cadre de gestion de la sécurité de l’information 12

9.9 La Direction des ressources humaines, des communications et des affaires juridiques (DRHCAJ)

La DRHCAJ s’assure que tout nouvel employé est informé de ses obligations découlant de la présente politique ainsi que des directives et procédures en vigueur en matière de sécurité des actifs informationnels. Elle doit notamment faire signer à tout nouvel employé le formulaire in-titulé « Engagement à la confidentialité et au respect de la politique relative à la sécurité des actifs informationnels », s’adressant à toutes les personnes œuvrant au CIUSSS du Saguenay–Lac-Saint-Jean, présenté à l’annexe B.

Elle est responsable de l’application des sanctions en cas de non-respect de la politique.

Elle informe les détenteurs d’actifs des changements de statut d’un employé.

Elle coordonne la formation sur la politique et consigne les présences au dossier de

l’employé.

9.10 Les responsables de domaines connexes à la sécurité de l’information

Les responsables de domaines connexes à la sécurité veillent au respect des exigences de sécu-rité relatives à leur domaine. À ce titre, ils :

communiquent au RSI de l’établissement les problématiques et les préoccupations de sé-

curité en rapport avec leur domaine;

contribuent à assurer la cohérence et l’harmonisation des interventions en sécurité de

l’information, y compris lors de la mise en œuvre du processus de gestion des risques et

des incidents de sécurité de l’information;

participent au comité de sécurité de l’information de l’établissement.

font signer à l’utilisateur le formulaire intitulé « Engagement à la confidentialité et au res-

pect de la politique de sécurité de l’information », s’adressant à toutes les personnes œu-

vrant au Centre intégré universitaire de santé et de services sociaux du Saguenay–Lac-

Saint-Jean, présenté à l’annexe B.

Selon les établissements, il peut s’agir notamment, sans s’y limiter, du :

1. responsable de la gestion des technologies de l’information;

2. responsable de l’architecture d’entreprise, volet sécurité;

3. responsable de l’accès à l’information et de la protection des renseignements person-nels;

4. responsable de la vérification interne;

5. responsable de la sécurité physique;

6. responsable de la gestion documentaire;

7. responsable de la continuité des services;

8. responsable de l’éthique;

Cadre de gestion de la sécurité de l’information 13

9. responsable de la gestion de la qualité et des risques organisationnels;

10. responsable des services professionnels;

11. responsable de l’enseignement universitaire;

12. responsable de la recherche universitaire;

13. responsable de logistiques et services techniques.

9.11 Les détenteurs de l’information Les détenteurs de l’information sont responsables d’assurer la sécurité d’un ou de plusieurs actifs informationnels qui leur sont confiés par le président-directeur général de l’établissement. Notamment, ils :

s’impliquent dans l’ensemble des activités relatives à la sécurité, notamment la catégorisa-

tion, l’évaluation des risques, la détermination du niveau de protection visé, l’élaboration

des contrôles non technologiques et, finalement, la prise en charge des risques résiduels;

s’assurent de connaître et évaluer les risques et vulnérabilités de leurs actifs information-

nels, priorisent les actions correctives appropriées et gèrent leur application selon le plan

d’action déterminé;

s’assurent que les mesures de sécurité appropriées sont élaborées, approuvées, mises en

place et appliquées systématiquement;

s’assurent que leur nom et les actifs informationnels dont ils assument la responsabilité

sont consignés dans le registre d‘autorité;

déterminent les règles d’accès aux actifs informationnels dont ils assument la responsabili-

té avec l’appui du RSI de l’établissement et le responsable de la protection des renseigne-

ments personnels (RPRP) de l’établissement, s’il y a lieu;

assurent la mise en place d’un contrôle aléatoire des accès aux systèmes sous leur respon-

sabilité.

9.12 Les pilotes de systèmes nommés par le détenteur de l’actif informationnel

Les pilotes de systèmes ont la responsabilité d’assurer le fonctionnement sécuritaire d’un actif informationnel dès sa mise en exploitation et d’appliquer les règles d’accès déterminées par les détenteurs d’actifs. Les pilotes doivent également informer les utilisateurs de leurs obliga-tions face à l’utilisation des systèmes d’information dont ils sont responsables lors de l’attribution des accès.

9.13 Les gestionnaires Les gestionnaires sont responsables de mettre en œuvre les dispositions de la politique de sé-curité de l’information auprès du personnel relevant de leur autorité. À ce titre, ils :

informent leur personnel des dispositions de la politique de sécurité de l’information et de

toute directive, standard et procédure en vigueur en matière de sécurité de l’information

Cadre de gestion de la sécurité de l’information 14

ainsi que des modalités liées à leur mise en œuvre, et les sensibilisent à la nécessité de s’y

conformer;

s’assurent que les actifs informationnels mis à la disposition de leur personnel sont utilisés

en conformité avec les principes généraux et les exigences de la politique de sécurité de

l’information et des règles particulières;

s’assurent que la sécurité de l’information est prise en compte dans tout contrat ou en-

tente de service attribué par leur unité administrative et voient à ce que tout consultant,

partenaire ou fournisseur s’engage à respecter et respecte les règles de sécurité de

l’information de l’établissement;

s’assurent que leurs employés ont reçu la formation adéquate sur la politique;

communiquent au RSI tout problème en matière de sécurité de l’information.

9.14 Les utilisateurs Les utilisateurs dûment autorisés à accéder aux actifs informationnels de l’établissement :

appliquent et respectent les lois et règlements qui régissent leur domaine d’activités ainsi

que toutes les politiques, directives, mesures, processus et procédures en matière de sécu-

rité de l’information auxquels ils sont assujettis, soit par leur lien d’emploi, par contrat ou

par entente;

avisent leur supérieur immédiat de toute situation portée à leur connaissance et qui est

susceptible de compromettre la sécurité de l’information

10. DISPOSITIONS FINALES Le présent cadre de gestion entre en vigueur à la date de son approbation par le président-directeur général de l’établissement. Le cadre de gestion doit être réévalué à chaque modification de la politique de sécurité de l’information et à l’occasion de changements organisationnels ou de nouvelles orientations ministérielles. Approuvé par : _______________________________________________________ Entrée en vigueur le : __________________________________________________